Deja de trabajar de manera aislada y aplica en tu área de seguridad TI la metodología DevSECOps

DEVSECOPS: Cuando la seguridad IT está en la operación

Que la informática está cambiando es evidente. Que está cambiando muy deprisa, demasiado deprisa, no resulta tan claro para todos. El modelo y la forma de hacer negocio que se da en la actualidad obliga a replantear la informática en un nuevo concepto de desarrollo, despliegue y operación de servicios y aplicaciones, en donde la seguridad es crítica.
La respuesta DEVSECOPS.

A cualquiera que tenga una mínima relación con un ordenador y que se le pregunte, seguro que entiende que la seguridad IT es importante y necesaria. Pero un verdadero fastidio para hacer cualquier cosa por sencilla que ésta sea. Y los más vehementes, se atreverán a reconocer que la desactivan si tienen oportunidad o que buscan la forma de hacer algún bypass a los restrictivos controles que ponen “los” de informática. El usuario, el negocio, perciben la seguridad IT como una restricción para hacer “negocio”, en donde “los” de informática son todos unos abnegados y fanáticos seguidores del Doctor NO, respecto a las necesidades y soluciones que el negocio plantea para seguir subsistiendo.

Pero la seguridad es clave actualmente para la supervivencia del negocio. Los riesgos y amenazas constantes del ordenador vienen de aquellos que han hecho que su negocio sea precisamente ese: el robo, la estafa y la extorsión cibernética. Por eso hay mucho. Porque es fácil, rápido, muy lucrativo y, como en el caso del ganado porcino, se aprovecha todo.  No se trata ya de desvalijar la cuenta bancaria de cualquier usuario distraído. Muy pocas personas son conscientes del dinero que se puede llegar a pagar en el mercado negro por datos; como direcciones de correo electrónico, teléfonos móviles y/o fijos, registros sanitarios, situación financiera y un largo etcétera aburrido: El big data también tiene sus alcantarillas.

Hoy por hoy es difícil encontrar a un profesional de TI que no sepa que es DevOps. La metodología de gestión de infraestructuras TI que trata de adaptar la informática al modelo de negocio actual, hacer que la informática sea una facilidad del negocio más que un problema a superar. Con DevOps se busca integrar el ciclo de vida completo de los servicios y aplicaciones TI en las tareas de desarrollo, de despliegue, de operación y, también, de la retirada de los mismos, en ciclos cortos y rápidos para que realmente resulten eficaces a las expectativas del mundo actual.

Los beneficios de DEVSECOPS son evidentes. Mejor calidad de software, mejor acabados, reducción del time to market, mejora de cumplimiento, etcétera. Pero ¿dónde queda la seguridad en todo esto? No es raro, los medios de comunicación generalistas así lo evidencian, que servicios tenidos como referencia de lo que puede aportar la informática al negocio, no es que pudieran ser endebles a posibles ataques: es que han sido escandalosamente vulnerables. Y todo porque en algún momento del diseño, del desarrollo o de su operación no se ha aplicado seguridad. No han fallado los controles de seguridad convencionales, los antivirus, firewall y demás mecanismos de todos conocidos. Ha fallado como se ha utilizado, lo que se ha hecho en ese servicio o aplicación. Así ocurre que bases de datos que se han perfilado su seguridad al milímetro y que se han colocado detrás de firewall con enrevesadas reglas de filtrado son accedidas con las credenciales de sysadmin por defecto, desde un script en claro que lanza un becario desde su PC obsoleto y descatalogado. O por un programador que le pareció buena idea incluir una librería que le resolvía un problema pero que no verifico su procedencia, posibles fallos y vulnerabilidades. Uno puede gastarse una pasta gansa en colocar la mejor puerta blindada en su casa, pero de poco le servirá para evitar la entrada de los cacos, si deja la llave debajo del felpudo. DevSECOps se ocupa de que nadie deje la llave en el felpudo.

Al aplicar una metodología como DevSECOps el área de seguridad en IT deja de trabajar de forma independiente, aislada. Debe involucrarse con el resto de los departamentos para facilitar sus iniciativas y no centrarse en vigilar que se produzcan incidentes de seguridad para resolverlos con prontitud. No se trata de aplicar métodos o estándares de seguridad que se pueden aplicar a la gestión de IT, como puede ser la ínclita ISO 27000. Con DevSECOps se trata de hacer que las operaciones en los procesos en los que intervienen los equipos de IT se hagan con perspectiva de seguridad. Desde el responsable del área hasta el becario, pasando por programador y el técnico de sistemas. Y por supuesto implicando al negocio. Los usuarios, al “usar” los servicios y aplicaciones, también son parte activa de la seguridad.

DevSECOps puede parecer otra novedad efímera de las modas que sacuden de vez en cuando al mundo IT, pero no lo es. Aún es una metodología o, si se prefiere, un movimiento incipiente al que le queda recorrido pero que no debe ser contemplado como algo independiente que vaya a sustituir a lo que ya se viene aplicando con muy buenos resultados: DevOps. Utilizar DevOps con seguridad debe ser considerado una evolución y una mejora de esta metodología independientemente del nombre que adopte.

Se podrá ser más o menos escéptico con la novedad, aplicarla o no aplicarla; no que no puede es pasar desapercibido. Y es lo que hay que tener en cuenta a la hora de valorar y estimar al proveedor de seguridad. En los tiempos que corren, ya no sirve el proveedor que base su valía en el área de seguridad en el conocimiento y experiencia de los mecanismos convencionales que todos saben que funcionan y que son efectivo. Esto no aporta valor a la IT desde la perspectiva de negocio.

Más Información

Desde Danysoft y si rellenas este formulario, te ayudaremos a facilitarte la información que necesitas.

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
¡Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *